一种名为LNK Stomping的复杂攻击技术已成为Windows安全的重大威胁，它利用操作系统处理快捷方式文件的一个基本漏洞来绕过安全控制。

该漏洞编号为CVE-2024-38217，并于2024年9月10日发布了补丁。它表明攻击者可以通过操纵Windows快捷方式（LNK文件）来绕过网页标记（MoTW）这一安全功能，这可能会使恶意代码在不触发安全警告的情况下执行。

这种攻击技术利用了Windows资源管理器的路径规范化过程，导致系统在不经意间移除了恶意文件的MoTW元数据。

这种绕过手段使攻击者能够执行有效负载，同时避开智能应用控制（SAC）和SmartScreen的检测，这两个是旨在保护用户免受不可信下载威胁的关键Windows安全组件。

LNK Stomping漏洞利用

ASEC 报告称，LNK stomping 技术利用了 Windows 快捷方式文件复杂的二进制结构，尤其针对 LinkTarget IDList 组件。

本节包含指定目标文件在Windows Shell命名空间中分层位置的Shell项ID。

攻击者通过创建非标准路径配置来操纵这种结构，这些配置会触发explorer.exe执行规范化操作。

当用户点击包含异常路径结构的恶意构造的LNK文件时，攻击会遵循特定的顺序：Windows资源管理器会检测到这种非标准配置，并尝试对其进行规范化处理。

在此过程中，系统会覆盖原始的LNK文件，同时无意中移除名为Zone.Identifier的NTFS备用数据流（ADS），该数据流包含MoTW元数据。

这种移除发生在安全检查执行之前，使得恶意有效载荷能够在不触发防御机制的情况下执行。

已识别出三种主要的操纵技术：路径段类型攻击将整个文件路径放入单个IDList数组元素中，而非适当分段的组件；点类型攻击在执行目标路径后附加句点或空格；相对类型攻击仅使用文件名而不提供完整的路径说明，所有这些都会造成结构不一致，从而触发规范化漏洞。

Elastic安全实验室的安全研究人员在VirusTotal上发现了大量LNK Stomping样本，其中最早的提交可追溯到六年前，这表明该技术在正式披露之前很久就已在实际环境中被利用。

该技术的有效性源于其能够表现为合法的系统行为。当LNK文件执行时，它们会调用受信任的Windows工具，使得恶意活动能与正常的系统操作无缝融合。

CISA将CVE-2024-38217添加到其已知被利用漏洞（KEV）目录中，确认威胁行为者正在对其进行主动利用。

自微软在2022年实施宏拦截政策后，这种方法变得越来越流行，这迫使攻击者通过电子邮件附件或压缩档案分发的ISO、RAR和LNK等文件格式，寻找其他初始访问途径。

各组织面临着重大的检测挑战，因为此类攻击利用的是Windows文件处理的基本机制，而非外部漏洞。

传统的基于特征的检测方法可能无法识别这些攻击，因为它们利用了合法的系统进程和文件结构。

这一漏洞在被发现前存在多年，这凸显了格式级安全研究和基于行为的分析的重要性，此类研究和分析有助于识别常见文件类型中此前未知的规避技术。